收集 CA LDAP 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 代理程式，將 CA LDAP 記錄擷取至 Google Security Operations。

CA Directory (前身為 Symantec Directory) 是符合 LDAP v2/v3 標準的目錄伺服器，以 X.500 標準為基礎。這項服務提供企業級目錄服務，以及全方位的記錄功能，包括警報、追蹤、警告、查詢、摘要、連線、診斷、更新和統計資料記錄，可監控目錄作業和安全性事件。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
Bindplane 代理程式與 CA 目錄伺服器之間的網路連線
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
CA Directory 伺服器的特殊權限 (root 或管理員)
已安裝 CA 目錄，並啟用記錄功能

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

注意： 這個 JSON 檔案包含驗證 Bindplane 代理程式與 Google SecOps 的憑證。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

注意： 設定 Bindplane 代理程式匯出工具時，需要使用 customer ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝
1. 以管理員身分開啟「命令提示字元」或「PowerShell」。
2. 執行下列指令：
```
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```
3. 等待安裝完成。
4. 執行下列指令來驗證安裝：
```
sc query observiq-otel-collector
```
  服務應顯示為「RUNNING」(執行中)。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。
執行下列指令來驗證安裝：
```
sudo systemctl status observiq-otel-collector
```
服務應顯示為啟用 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
  udplog:
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/ca_directory:
    compression: gzip
    creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: CA_LDAP
    raw_log_field: body
    ingestion_labels:
      env: production
      source: ca_directory

service:
  pipelines:
    logs/ca_directory_to_chronicle:
      receivers:
        - udplog
      exporters:
        - chronicle/ca_directory

替換下列預留位置：
- 接收器設定：
  - listen_address：設為 0.0.0.0:514，即可監聽 UDP 通訊埠 514 上的所有介面
    - 如要以非根使用者身分安裝 Linux，請使用通訊埠 1514 以上版本
    - 確認通訊埠與 rsyslog 轉送中設定的通訊埠相符
- 匯出工具設定：
  - creds_file_path：擷取驗證檔案的完整路徑：
    - Linux：/etc/bindplane-agent/ingestion-auth.json
    - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id：將 YOUR_CUSTOMER_ID 替換為您的 customer ID。詳情請參閱「取得 Google SecOps 客戶 ID」。
  - endpoint：區域端點網址：
    - 美國：malachiteingestion-pa.googleapis.com
    - 歐洲：europe-malachiteingestion-pa.googleapis.com
    - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
  - log_type：設為 CA_LDAP (CA 目錄的 Chronicle 擷取標籤)
  - ingestion_labels：用於篩選和整理的選用標籤

儲存設定檔

編輯完成後，請儲存檔案：

Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列步驟：
1. 執行下列指令：
```
sudo systemctl restart observiq-otel-collector
```
2. 確認服務正在執行：
```
sudo systemctl status observiq-otel-collector
```
3. 檢查記錄中是否有錯誤：
```
sudo journalctl -u observiq-otel-collector -f
```
如要在 Windows 中重新啟動 Bindplane 代理程式，請按照下列步驟操作：
1. 您可以選擇下列其中一個選項：
  - 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - 服務控制台：
    1. 按下 Win+R 鍵，輸入 services.msc，然後按下 Enter 鍵。
    2. 找出 observIQ OpenTelemetry Collector。
    3. 按一下滑鼠右鍵，然後選取「重新啟動」。
2. 確認服務正在執行：
```
sc query observiq-otel-collector
```
3. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

使用 rsyslog 設定 CA LDAP 系統記錄轉送

本節說明如何在 CA 目錄伺服器上設定 rsyslog，將記錄檔轉送至 Bindplane 代理程式。

找出 CA 目錄記錄檔位置

CA Directory 會將記錄檔儲存在下列位置：

Linux：/opt/CA/Directory/dxserver/logs/
Windows：C:\Program Files\CA\Directory\dxserver\logs\

記錄檔會根據 DSA 名稱採用命名模式 (例如 democorp_alarm、democorp_warn、democorp_trace)。

可用的記錄類型

CA Directory 會產生下列記錄類型：

警報記錄：重大事件 (一律啟用)
警告記錄：錯誤和警告
追蹤記錄：詳細追蹤作業
查詢記錄：包含時間戳記的詳細作業資訊
摘要記錄：作業摘要
連線記錄：連線和中斷連線事件
診斷記錄：遭拒的作業
統計資料記錄：每分鐘的運算統計資料
更新記錄：新增、修改、重新命名及刪除作業
時間記錄：作業時間資訊

在 Linux 上設定 rsyslog

以 root 身分或使用 sudo 權限登入 CA 目錄伺服器。
如果尚未安裝 rsyslog，請安裝：
```
sudo yum install rsyslog
```
或是 Debian/Ubuntu：
```
sudo apt-get install rsyslog
```

為 CA 目錄建立新的 rsyslog 設定檔：

sudo nano /etc/rsyslog.d/ca-directory.conf

新增下列設定，轉送 CA 目錄記錄：

# Load the imfile module for file monitoring
module(load="imfile" PollingInterval="10")

# Monitor CA Directory alarm logs
input(type="imfile"
    File="/opt/CA/Directory/dxserver/logs/*_alarm*"
    Tag="ca-directory-alarm"
    Severity="error"
    Facility="local0")

# Monitor CA Directory warn logs
input(type="imfile"
    File="/opt/CA/Directory/dxserver/logs/*_warn*"
    Tag="ca-directory-warn"
    Severity="warning"
    Facility="local0")

# Monitor CA Directory trace logs
input(type="imfile"
    File="/opt/CA/Directory/dxserver/logs/*_trace*"
    Tag="ca-directory-trace"
    Severity="info"
    Facility="local0")

# Monitor CA Directory query logs
input(type="imfile"
    File="/opt/CA/Directory/dxserver/logs/*_query*"
    Tag="ca-directory-query"
    Severity="info"
    Facility="local0")

# Monitor CA Directory connection logs
input(type="imfile"
    File="/opt/CA/Directory/dxserver/logs/*_connection*"
    Tag="ca-directory-connection"
    Severity="info"
    Facility="local0")

# Monitor CA Directory update logs
input(type="imfile"
    File="/opt/CA/Directory/dxserver/logs/*_update*"
    Tag="ca-directory-update"
    Severity="info"
    Facility="local0")

# Forward all CA Directory logs to Bindplane agent
if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514
& stop

將 BINDPLANE_AGENT_IP 替換為 Bindplane 代理程式主機的 IP 位址：
- 如果 Bindplane 代理程式位於同一部伺服器：127.0.0.1
- 如果 Bindplane 代理程式位於其他伺服器：輸入 IP 位址 (例如 192.168.1.100)
注意： @@ 前置字元表示 TCP 轉送。使用 @ 轉送 UDP (例如 @BINDPLANE_AGENT_IP:514)。
儲存設定檔：

依序按下 Ctrl+O、Enter 和 Ctrl+X 鍵
驗證 rsyslog 設定語法：
```
sudo rsyslogd -N1
```
重新啟動 rsyslog 服務：
```
sudo systemctl restart rsyslog
```
確認 rsyslog 正在執行：
```
sudo systemctl status rsyslog
```
檢查 rsyslog 記錄是否有錯誤：
```
sudo tail -f /var/log/messages
```

在 Windows 上設定 rsyslog

從 rsyslog 網站下載並安裝 Windows 版 rsyslog。

開啟 rsyslog 設定檔：

notepad "C:\Program Files\rsyslog\rsyslog.conf"

新增下列設定：

# Load the imfile module for file monitoring
module(load="imfile" PollingInterval="10")

# Monitor CA Directory alarm logs
input(type="imfile"
    File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_alarm*"
    Tag="ca-directory-alarm"
    Severity="error"
    Facility="local0")

# Monitor CA Directory warn logs
input(type="imfile"
    File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_warn*"
    Tag="ca-directory-warn"
    Severity="warning"
    Facility="local0")

# Monitor CA Directory trace logs
input(type="imfile"
    File="C:\\Program Files\\CA\\Directory\\dxserver\\logs\\*_trace*"
    Tag="ca-directory-trace"
    Severity="info"
    Facility="local0")

# Forward all CA Directory logs to Bindplane agent
if $syslogtag contains 'ca-directory' then @@BINDPLANE_AGENT_IP:514
& stop

將 BINDPLANE_AGENT_IP 替換為 Bindplane 代理程式主機的 IP 位址。
儲存設定檔。
重新啟動 rsyslog 服務：
```
net stop rsyslog
net start rsyslog
```

啟用 CA 目錄記錄

確認 CA 目錄已啟用必要的記錄類型：

編輯 DSA 設定檔：
- Linux：/opt/CA/Directory/dxserver/config/servers/democorp.dxc
- Windows：C:\Program Files\CA\Directory\dxserver\config\servers\democorp.dxc
注意： 請將 democorp 替換為您的動態搜尋廣告名稱。

驗證或新增下列記錄設定：

    set alarm-log = true;
    set warn-log = true;
    set trace-log = true;
    set query-log = true;
    set connection-log = true;
    set update-log = true;

儲存設定檔。

重新啟動 CA 目錄 DSA：

Linux：

dxserver stop democorp
dxserver start democorp

Windows：

net stop "CA Directory DSA - democorp"
net start "CA Directory DSA - democorp"

確認記錄轉送

執行 LDAP 查詢或嘗試驗證，在 CA Directory 中產生測試活動。

檢查 Bindplane 代理程式記錄，確認是否收到記錄：

Linux：

sudo journalctl -u observiq-otel-collector -f

Windows：

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

登入 Google SecOps 控制台，並確認記錄檢視器中顯示 CA 目錄記錄。

如要進一步瞭解 CA Directory 記錄，請參閱 Broadcom CA Directory 說明文件。

如需詳細的 rsyslog 設定範例，請參閱 Broadcom 知識庫中關於集中式記錄的文章。

UDM 對應表

記錄欄位	UDM 對應	邏輯
agent.ephemeral_id、logstash.irm_region、logstash.irm_environment、logstash.irm_site、host.os.name	additional.fields	合併為標籤，索引鍵分別為「ephemeral_id」、「irm_region」、「irm_environment」、「irm_site」、「os_name」
host.architecture	hardware.cpu_platform	直接複製值
logstash.process.host	intermediary.hostname	直接複製值
logstash.collect.timestamp	metadata.collected_timestamp	使用日期篩選器剖析為時間戳記
msg	metadata.description	直接複製值
	metadata.event_type	設為「STATUS_UPDATE」
agent.type、agent.version	observer.application	如果兩者皆不為空，則串連為「%{agent.type} %{agent.version}」，否則為「%{agent.type}」
agent.type、agent.id	observer.asset_id	串連為「%{agent.type}: %{agent.id}」
agent.hostname	observer.hostname	直接複製值
host.id	principal.asset.asset_id	串連為「CA_LDAP:%{host.id}」
硬體	principal.asset.hardware	從硬體物件合併
host.hostname	principal.hostname	直接複製值
host.ip	principal.ip	從 host.ip 陣列合併
host.mac	principal.mac	從 host.mac 陣列合併
host.os.family	principal.platform	如果符合「(rhel\|redhat)」，則設為「LINUX」
host.os.kernel	principal.platform_patch_level	直接複製值
host.os.version	principal.platform_version	直接複製值
log.file.path	principal.process.file.full_path	直接複製值
syslog_severity	security_result.severity	如果符合「(?i)(DEFAULT\|DEBUG\|INFO\|NOTICE)」，則設為「INFORMATIONAL」；如果符合「(?i)ERROR」，則設為「ERROR」；如果符合「(?i)WARNING」，則設為「MEDIUM」；如果符合「(?i)(CRITICAL\|ALERT\|EMERGENCY)」，則設為「HIGH」
syslog_severity	security_result.severity_details	直接複製值
	metadata.product_name	設為「CA_LDAP」
	metadata.vendor_name	設為「CA_LDAP」

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。